Munin Master-Node Verbindung über TLS herstellen

Den meisten dürfte Munin wohl bekannt sein, da es sich um ein Projekt handelt welches schon lange existiert. Munin ist eine Software zum Überwachen von Computern, besonders von Servern. Munin ist durch Plugins erweiterbar, kann aber bereits standardmäßig eine große Anzahl von Informationen sammeln, wie z.B. Prozessorauslastung, Festplattenbelegung, Netzwerktraffic usw.

Es eignet sich dabei sowohl zum Überwachen eines einzelnen Servers oder einer Vielzahl von Servern. Werden mehrere Maschinen überwacht, so fungiert ein Server als sogenannter Master. Auf diesem werden die Informationen von allen Maschinen gesammelt und ausgewertet. Die anderen Server werden als Nodes bezeichnet. Die Nodes sammeln nur Daten auf der lokalen Maschine und stellen sie dem Master zur Verfügung.

Standardmäßig fragt Munin nur den lokalen Rechner ab. Durch hinzufügen zusätzlicher Nodes in der /etc/munin/munin.conf werden auch die Informationen der entfernten Nodes abgeholt.

Weiterlesen

Unsortierte Shell Kommandos und Einstellungen #1

Nach einer Neuinstallation des Computers stellt man vielleicht fest, dass man sich an den einen oder anderen, häufig genutzten Befehl nicht mehr erinnert, da man ihn immer nur aus der Shell History aufgerufen hat. Oder man vermisst eine Einstellung, erinnert sich aber nicht mehr wo und wie diese vorgenommen wird. So erging es mir jedenfalls schon das eine oder andere Mal.

Aus diesem Grund erstelle ich in Zukunft hin und wieder einen Artikel wie diesen, mit unsortierten, aber nützlichen Shell-Befehlen und Einstellungen.

Vielleicht findet auch der oder die Eine oder Andere auch noch etwas nützliches dabei.

Weiterlesen

Antergos: Links werden nicht im Standardbrowser geöffnet

Mittlerweile verstecken sich viele Zusatzinformationen wie Hilfeeinträge in Programmen, oder Statusinformationen bei einem Klick auf Tray-Icons auf Webseiten. Ein Klick auf einen solchen Link, z.B. in der Nextcloud App o.ä. soll dann den im System eingestellten Standardbrowser öffnen und die verlinkte Webseite anzeigen.

Bei meinem Desktop mit Antergos Linux hatte ich leider die Situation, dass solche Links immer im Firefox geöffnet wurden, obwohl Chromium eigentlich als Standardbrowser im System gesetzt war.

Nach einigem suchen und probieren, habe ich herausgefunden dass in der MIME-Type Zuordnung des Users im Homeverzeichnis unter ~/.config/mimeapps.list, allen HTML Dateien der Browser Firefox zugeordnet war. Diese Zuordnung schlägt wohl manchmal die Standardeinstellung über die GUI.

Weiterlesen

Zugriffsrechte auf gemeinsame Dateien für mehrere User mit bindfs festlegen

Ich stand an mehreren Stellen vor dem Problem, auf einen gemeinsamen Ordner und Dateien mit verschiedenen Benutzern zugreifen zu wollen. Aus Sicherheitsgründen sollten allerdings nicht alle Benutzer Lese- und Schreibrechte haben, sondern ich wollte die Rechte gerne feiner festlegen.

Das Problem

Konkret hatte ich zwei Fälle.

  1. Lokale User sollten über SAMBA Shares lesend und schreibend auf die Files zugreifen können.
  2. Ein lokal installierter Webserver soll nur lesend auf die Dateien zugreifen können
  3. Ein externer Server soll über einen SSH Zugang lesen und schreiben können.

im zweiten Fall sollte

  1. ein Webserver lesend und schreibend auf ein Verzeichnis und Dateien zugreifen können
  2. ein weiterer Benutzer lesend und schreibend auf das selbe Verzeichnis und Dateien zugreifen.

Grundsätzlich lassen sich beide Fälle lösen, indem alle Benutzer die auf das Verzeichnis lesend und schreibend zugreifen können sollen in eine Benutzergruppe gepackt werden und diese als primäre Gruppe festgelegt wird. Dies war auch meine ursprüngliche Lösung.

Weiterlesen

Geoposition eines Bildes im Gnome-Bildbetrachter anzeigen

Eine Funktion die ich bei diversen Bildergalerie Apps auf dem Handy sehr schätze, ist die Möglichkeit den Aufnahmeort eines Fotos direkt in der App auf einer Landkarte anzuzeigen. Auf dem PC habe ich diese Funktion immer vermisst.

Zufällig habe ich jedoch vor kurzem herausgefunden dass sich Eye of Gnome, bzw. der Gnome Bildbetrachter über Plugins mit genau dieser Funktion ausrüsten lässt. Nach dem aktivieren des entsprechenden Plugins wird rechts in der Seitenleiste des Bildbetrachters eine Karte von Open Street Map eingeblendet auf der der Aufnahmeort des geöffneten Bildes markiert wird.
Wenn sich im Ordner des gerade geöffneten Bildes mehrere Bilddateien befinden, so wird auch deren Geoinformation auf der Karte angezeigt. Durch einen Klick auf eine der Nadeln auf der Karte wird dann das entsprechenden Bild geöffnet. In die Karte kann man beliebig hinein- und herauszoomen.

Zum aktivieren von Plugins in Eye of Gnome muss zuerst das Paket

eog-plugins

installiert werden.

Weiterlesen

Seltsame DNS-Anfragen beim Starten von Chromium/Google Chrome

Es war einer dieser Abende an dem ich „nur mal kurz“ etwas testen wollte, über ein Ereignis gestolpert bin, anschließend vom Hundertsten ins Tausendste gekommen, um am Ende meine Browserwahl hinterfragen zu müssen.

Ihr kennt das.

Eigentlich wollte ich versuchen den SMB-Traffic zwischen meinem Homeserver und den Linux-Clients zu verschlüsseln, da ich gelesen hatte dass dies ab SMB Version 3 implementiert ist und der Samba Server ab Version 4.1 dies unterstützt. Leider funktioniert das nur mit neueren Windows Clients, da der Linux Client cifs-vfs (im Paket cifs-utils) Verschlüsselung bisher leider noch nicht integriert hat.

Beim Überprüfen ob der Traffic jetzt wirklich verschlüsselt ist oder nicht, ist mir aufgefallen dass mein Computer in unregelmäßigen Abständen seltsame DNS-Anfragen gestellt hat.

So zeigte Wireshark dass z.B. versucht wurde lhoxswzjeosw oder aqxoikiod (bzw. lhoxswzjeosw.fritz.box oder aqxoikiod.fritz.box wenn die Fritzbox als DNS Server gesetzt war) aufzulösen.

Weiterlesen

Shellscript ohne execute-flag im Terminal ausführen

Normalerweise muss zum Ausführen einer Datei unter Linux zuerst mit chmod das execute-flag gesetzt werden. Also z.B. chmod +x Dateiname, oder chmod 744 Dateiname. Damit wird die Datei für alle, oder nur dem Besitzer der Datei, ausführbar gemacht. Versucht man ein Skript  direkt auszuführen, für welches dieses Flag nicht gesetzt ist erhält man eine Fehlermeldung.

Möchte man ein Shellscript ausführen, für welches man das Execute-Flag aus Sicherheits- oder sonstigen Gründen nicht setzen möchte, so kann man dies tun indem das Script im Terminal mit dem Befehl sh aufgerufen wird.

sh skriptname.sh

Auf diese Weise lassen sich auch andere Skripte wie PHP oder Python Skripte im Terminal ausführen, sofern der entsprechende Interpreter installiert ist.

python skriptname.py

php skriptname.php


88x31_CC_by
Dieser Text ist lizensiert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
Titelbild „linux-window-terminal-command-154766“ von Pixabay steht unter Creative Commons CC0

OpenVPN Server mit IPv4 und IPv6

Ich nutze schon länger einen eigenen VPN Server auf Basis von OpenVPN um meinen Internettraffic in öffentlichen, nicht vertrauenswürdigen Netzwerken zu verschlüsseln. Dieser hat allerdings nur einen IPv4 Tunnel unterstützt. Meine wenig zufriedenstellende Lösung für dieses Problem war immer das deaktivieren von IPv6 in solchen Situationen, um sicherzustellen dass keine Daten über die IPv6 Verbindung am VPN vorbei gelangen.

Da ich diese Situation für nicht akzeptabel hielt habe ich schon länger versucht den Server so zu konfigurieren dass der Client auch eine IPv6 Adresse erhält und IPv6 Traffic durch den VPN Tunnel geleitet wird.

Der einfachste Weg dies zu realisieren war lange Zeit die Nutzung der OpenVPN kompatiblen VPN Software pritunl. Pritunl lässt sich schnell einrichten, lässt sich einfach über ein Webinterface konfigurieren und unterstützt auch IPv6.
Allerdings war Pritunl bei mir nie so zuverlässig wie mein alter OpenVPN Server. Außerdem vergibt Pritunl keine öffentlichen IPv6 Adressen an die Clients sondern, sondern private und leitet den Traffic via NAT über die öffentliche Adresse des Servers. Aus diesem Grund war ich mit Pritunl leider auch nicht zufrieden.

Meine Wunsch war der Aufbau eines Tunnels über IPv4 (da eine IPv4 Verbindung i.d.R. immer vorhanden ist). Außerdem sollte darüber der IPv6 Traffic getunnelt werden und die Clients sollen eine öffentliche IPv6 Adresse aus dem /64 des Servers erhalten

Weiterlesen

Kill the Newsletter – Newsletter als RSS Feed abonnieren

Ich bin nach wie vor ein großer RSS Feed Fan. Meine Tiny-Tiny RSS Installation und die dazugehörige Android App gehören zu den von mir am meisten genutzten und geliebten Programmen. Über RSS Feeds habe ich viele Dutzend Blogs, Nachrichtenseiten, Podcasts uvm. abonniert, damit verbringe ich meine Zeit in öffentlichen Verkehrsmitteln und darüber informiere ich mich und darüber Nutze ich eine Vielzahl an Unterhaltungsangeboten.

Dass RSS tot ist sehe ich überhaupt nicht. So bieten alle großen, von mir genutzten Nachrichtenseiten wie Spiegel Online, Tagesschau, TAZ oder FAZ einen RSS Feed an. Sogar Youtube Kanälelassen sich über einen RSS Feed abonnieren (Youtube-Kanal als RSS Feed abonnieren).

Ein für mich bisher ungelöstes Problem waren allerdings Email-Newsletter. Es gibt doch einige informative Newsletter, die ich gerne abonniert habe und die ich sehr gerne lese. Nervig fand ich eben dass diese als Email ausgeliefert werden. Dies passt einfach nicht zu der Art wie ich Informationen konsumiere. Ich halte Newsletter nicht für wichtig genug um mir deren Eingang als Pushnachricht auf dem Smartphone signalisieren zu lassen. Wenn ich das allerdings nicht tue, dann gehen die Newsletter in irgendeinem Emailordner unter.

Offensichtlich bin ich nicht der einzige Mensch der vor diesem Problem stand, denn ein Mann Namens Leandro Facchinetti, der sich selbst als Autor von Prosa, Software und Liedern beschreibt hat den Dienst „Kill The Newsletter“ ins Leben gerufen.

Kill the Newsletter wandelt Email-Newsletter in einen RSS Feed um.

Weiterlesen

SHA512 Passwort-Hash für Nginx Basic Auth nutzen

Vor einiger Zeit rief Mike Kuketz in seinem Microblog dazu auf MD5 htpasswd Hashes zu ersetzen. Dabei empfiehlt er anstatt MD5 oder SHA1 auf bcrypt zu wechseln.

Für den Apache Webserver können Bcrypt verschlüsselte Passwörter einfach mit dem tool htpasswd und dem Schalter -B erzeugt werden (htpasswd -Bc passwordfile username). Apache unterstützt die Formate bcrypt, apr1 (MD5), SHA1, crypt () und unverschlüsselten Plain text.

Das Nginx Basic Auth Modul versteht jedoch keine bcrypt Hashes.

Tatsächlich unterstützt Nginx laut Dokumentation nur Plain text, crypt(),  apr1 (MD5), SHA1 und SSHA (salted SHA1) welche alle als mehr oder weniger anfällig für Kollissionsangriffe gelten (unterschiedliche Passwörter können den selben Hash ergeben).

Weiterlesen

1 2 3 8